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Beschreibung 

Fehlersichere ProzeJieingabe und Prozefiausgabe 

Die vorliegende Erfindung betrifft ein Verfahren zum Betrieb 
eines Automatisierungssystems, wobei das Automat is ierungs sy- 
stem mindestens eine Eingabeeinheit zur Aufnahme von Prozefi- 
signalen und mindestens eine Ausgabeeinheit zum Ansteuern ex- 
terner Peripherie aufweist, wobei die Eingabeeinheit und die 
Ausgabeeinheit Jcommunikativ Ober einen Bus miteinander ver- 
bunden sind. 

Um bei Automatisierungsvorhaben, die von einem gattungsgema- 
fien Automatisierungssystem gesteuert und/oder uberwacht wer- 
den, in Notsituationen ein schnelles Abschalten der automati- 
sierten Prozesse oder einzelner Vorgangen zur erreichen, ist 
bisher eine Not-Aus-Behandlung in Form einer Not-Aus-Kette 
vorgesehen. 

In eine derartige Not-Aus-Kette werden Not-Aus-Schalter, 
Lichtgitter, Tretmatten oder Ahnliches integriert. Aufgrund 
der an eine Not-Aus-Behandlung zu stellenden Anforderungen 
ist es Ublich, die Not-Aus-Behandlung in herkommlicher Ver- 
drahtung auszufilhren. Als Beispiel sei hier ein Tunnelofen 
genannt, der bezuglich des Automat isierungsprozesses in meh- 
rere Segmente unterteilt ist. An far den Benutzer zugangli- 
chen Positionen an der Aufienseite des Tunnelofens sind fur 
die Not-Aus-Behandlung z.B. Not-Aus-Taster vorgesehen, wobei 
die Betatigung eines Not-Aus-Tasters je nach Auslegung der 
automatisierten Gesamtanlage, z.B. das definierte Herunter- 
fahren des gesamten Prozesses nach sich zieht. 

Die Not-Aus-Taster sind Feldgerate mit einer Eingabefunktion. 
Die Gerate, die das Herunterf ahren des Prozesses bewirken, 
sind entsprechend Gerate mit einer Ausgabefunktion zur An- 
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steuerung externer Peripherie, z.B. also Ausgabegerate, die 
einen Motor far Transportprozesse, einen Motor far Ventilati- 
on, ein Hydraulikaggregat zur Positionierung o.a. steuern. 

Im Falle einer Not-Aus-Situation ist das unmittelbare Ab- 
schalten der externen Peripherie erforderlich. Zu diesem 
Zweck ist zwischen den Eingabegeraten, also den Not-Aus- 
Tastern, und den Ausgabegeraten, wie den Motoren oder den Ag- 
gregates eine Not-Aus-Kette aufgebaut, die bisher in konven- 
tioneller Verdrahtung auszufuhren war und die beim Betatigen 
eines Not-Aus-Tasters ein unmittelbares Abschalten des Motors 
bzw. ein unmittelbares Abschalten des Hydraulikaggregates be- 
wirkt. Die konventionelle Verdrahtung ist dabei bisher auf- 
grund der Sicherheitsanforderungen, die an eine Not-Aus- 
Behandlung zu stellen sind, erforderlich. 

Dabei ist es jedoch nachteilig, bei grofiflachigen Automati- 
sierungsprojekten wie z.B. bei den beschriebenen Tunnelofen, 
die konventionelle Verdrahtung im gesamten Prozefifeld vorzu- 
sehen. 

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren 
zum Betrieb eines Automatisierungssystems anzugeben, bei dem 
zur Behandlung von Not-Aus-Situationen auf die konventionelle 
Verdrahtung verzichtet werden kann und statt dessen eine kom- 
munikatiye Verbindung zwischen den Komponenten der Not-Aus- 
Kette uber den Bus des Automatisierungssystems besteht. 

Erfindungsgemali ist daher vorgesehen, far die Not-Aus- 
Behandlung auf die konventionelle Verdrahtung zu verzichten 
und samtliche Feldgerate, d.h. also auch die Not-Aus-Taster 
und die in die Not-Aus-Kette einzubindenden Motoren oder Ag- 
gregate, aber den ProzeBbus kommunikativ zu verbinden. 
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Diese Aufgabe wird fur ein Verfahren zum Betrieb eines Auto- 
mat is ierungs systems, wobei das Automatisierungssystem minde- 
stens eine Eingabeeinheit zur Aufnahme von Prozefisignalen und 
mindestens eine Ausgabeeinheit zum Ansteuern externer Peri- 
pherie aufweist, wobei die mindestens eine Eingabeeinheit und 
die mindestens eine Ausgabeeinheit kommunikativ uber einen 
Bus miteinander verbunden sind, dadurch gelost, dafi zumindest 
eine der Eingabeeinheiten und zumindest eine der Ausgabeein- 
heiten als f ehlersichere Eingabeeinheit bzw. f ehlersichere 
Ausgabeeinheit ausgebildet sind, dafi die f ehlersichere Einga- 
beeinheit der fehlersicheren Ausgabeeinheit zu vorgegebenen 
Zeitpunkten ein Datum ubermittelt, daJi das Datum zumindest 
ein Nutzinformation, eine die adressierte Ausgabeeinheit be- 
zeichnende Zielkennung und eine die sendende Eingabeeinheit 
bezeichnende Ursprungskennung aufweist, dafi die Ausgabeein- 
heit den kontinuierlichen Empfang des Datums als Indiz fur 
eine intakte Kommunikationsbeziehung auswertet und andern- 
falls die angeschlossene Peripherie in einen sicheren Zustand 
uberf iihrt . 



Die an eine Not-Aus-Behandlung zu stellenden Sicherheitsan- 
forderungen werden gemafi der Erfindung erfullt, wenn die Ein- 
gabegerate, also z.B. die Not-Aus-Taster und die in die Not- 
Aus-Kette einzubindenden Ausgabegerate, die zur Ansteuerung 
der Motoren oder Aggregate vorgesehen sind, jeweils fehlersi- 
cher ausgefuhrt sind. Im Falle einer Not-Aus-Situation ergibt 
sich dann in der automat isiert en Anlage folgender Ablauf : 

Beim Betatigen eines Not-Aus-Tasters wird durch das Datenein- 
gabegerat ein Datum auf den Bus gelegt. Das zu ubermittelnde 
Datum weist gemafi den Spezif ikationen des fur die physikali- 
sche Kommunikationsverbindung verwendeten Busprotokolls zu- 
mindest ein Nutzinformation, in diesem Falle also die Infor- 
mation, ob der Not-Aus-Taster gedruckt ist oder nicht, zumin- 
dest eine Zieladresse, also die Adresse des Kommunikation- 
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steilnehmers, an die die Nachricht gesendet wird - wobei eine 
spezielle Kennung ein Versenden der Nachricht an alle Kommu- 
nikationsteilnehmer ermdglicht - sowie schliefilich die Ur- 
sprungskennung, die den Absender des Datums identifiziert, 
auf . 

Die Erfindung kann nun einmal so eingesetzt werden, dafi das 
Datum an einen ganz bestimmten Kommunikationsteilnehmer ver- 
sendet wird, wobei der Adressat anhand der im Datum enthalte- 
nen Zieladresse erkennt, dafi das Datum far ihn bestimmt ist 
Oder dafi das Datum an alle Kommunikationteilnehmer versendet 
w lr d, wobei jeder einzelne Kommunikationsteilnehmer anhand 
der Ursprungsadresse des Datums ermittelt, ob das Datum, also 
die Nutzinformation des Datums von ihm auszuwerten ist. 

Andererseits kann das Datum auch an eine ubergeordnete Ein- 
heit des Automat isierungssys terns, z.B. die Zentraleinheit ei- 
ner speicherprogrammierbaren Steuerung, versendet werden, wo- 
bei diese wiederum an der Ursprungskennung des Datums er- 
kennt, dafi eine Nachricht, z.B. von einem Not-Aus-Taster ein- 
getroffen ist, die einer unmittelbaren Behandlung bedarf, so 
dafi die Zentraleinheit unmittelbar nach Detektion des Datums 
dieses an die Ausgabegerate weiterleitet, so dafi diese ein 
Herunterfahren bzw. Abschalten der an die Ausgabegerate ange- 
schlossenen Motoren oder Aggregate auslosen bzw. selbst ein 
weiteres Datum an die Ausgabegerate absetzen, das zum glei- 
chen Resultat f tthrt . 

Die Ausgabeeinheit wertet dabei den kontinuierlichen Empfang 
des Datums von der Eingabeeinheit als Indiz fur eine intakte 
Kommunikationsbeziehung. Fur den Fall, dafi die Ausgabeeinheit 
das Ausbleiben eines Datums von einer Eingabeeinheit wahrend 
einer Zeitspanne, die grofier als eine vorgebbare Zeitspanne 
ist, feststellt, Uberfuhrt die Ausgabeeinheit die angeschlos- 
sene Peripherie in einem sicheren Zustand und sorgt damit 



GR 98 P 3015 



5 

wieder far das Herunterfahren der angeschlossenen Motoren 
oder Aggregate. 

Zum Einsatz im Rahmen des erf indungsgemafien Verfahrens zum 
Betrieb eines Automatisierungssystems ist ferner ein fehler- 
sicheres Dateneingabegerat mit mindestens einem Eingabekanal 
zum Anschlufi peripherer Sensorik vorgesehen, fur das eine 
Prufschaltung vorgesehen ist, die zu vorgegebenen Zeiten ei- 
nen Prufvorgang auslost und dabei fur mindestens einen der 
Eingabekanale des f ehlersicheren Eingabegerates einen Status- 
wechsel bewirkt, wobei eine interne Logik den Statuswechsel 
uberwacht und ggf s . eine Fehlermeldung ausgibt, wobei der 
durch die Prufschaltung bewirkte Statuswechsel am Ende des 
Prufvorgangs wieder rttckgangig gemacht wird und wobei der 
Prufvorgang fur das Auslesen des betroffenen Eingabekanals 
vollkommen tran- 
sparent ist . 



Far den Einsatz im Rahmen des erf indungsgemafien Verfahrens 
zum Betrieb eines Automatisierungssystems ist ferner oder al- 
ternate ein fehlersicheres Dateneingabegerat mit mindestens 
einem Eingabekanal zum AnschluJi peripherer Sensorik vorgese- 
hen, bei dem der mindestens eine Eingabekanal antivalent aus- 
gelegt ist. 

Die gemaJi der obenstehenden Beschreibung ausgefahrten fehler- 
sicheren Eingabegerate werden durch die genannten Mafinahmen, 
d.h. durch die antivalente Auslegung des Eingabekanals bzw. 
durch die Oberwachung des Eingabekanals mittels einer Pruf- 
schaltung zu fehlersicheren Dateneingabegeraten, wobei die 
beiden Mafinahmen auch kombinierbar sind. 

Zum Einsatz im Rahmen des erf indungsgemafien Verfahrens zum 
Betrieb eines Automatisierungssystems ist ferner eine fehler- 
sicheres Ausgabegerat ausgebildete Ausgabeeinheit vorgesehen. 
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Wenn fur das f ehlersichere Datenausgabegerat eine Verarbei- 
tungseinheit zur Verarbeitung benutzer-projektierbarer logi- 
scher Verknilpfungen vorgesehen ist, wobei die Verarbeitungs- 
einheit das Nutzinformation eines empfangenen Datums auswer- 
tet, das Nutzinformation der benutzerprojektierbaren logi- 
schen Verknupfung unterwirft und entsprechend dem Ergebnis 
der logischen Verkntipfung den mindestens einen Ausgabekanal 
ansteuert, sind Sof twarekomponenten, die bisher ttblicherweise 
in einem ubergeordneten Automat isierungsgerat, z.B. der Zen- 
traleinheit einer speicherprogrammierbaren Steuerung, vorge- 
sehen waren, auch in das f ehlersichere Ausgabegerat verlager- 
bar, so daJJ hier eine besonders schnelle und effektive Verar- 
beitung und Auswertung der logischen Verkntipfungen moglich 



ist 



Wenn fur das f ehlersichere Datenausgabegerat die Verarbei- 
tungseinheit ferner oder alternativ die zeitliche Abfolge der 
mit dem Nutzinformation ubermittelten Prozefidaten uberwacht, 
und dem mindestens Ausgabekanal nur dann ansteuert, wenn die 
zeitliche Abfolge der zur Ansteuerung des Ausgabekanals er- 
forderlichen Daten innerhalb vorgebbarer Toleranzen liegt, 
ist ein sog. Muting moglich, das zur Erhohung der Sicherheit 
des automatisierten Prozesses beitragt. Als Beispiel sei die 
Absicherung einer Fahrbiihne mittels eines induktiven End- 
schalters und einer Lichtschranke genannt . Die Fahrbtlhne lost 
bei ihrer Bewegung sowohl den induktiven Endschalter als auch 
die Lichtschranke in einer gewissen, durch die Geschwindig- 
keit der Fahrbiihne bestimmten zeitlichen Abfolge aus . 

Wenn die zeitliche Abfolge des Eingangs der zugehOrigen Si- 
gnale innerhalb der vorgebenen Toleranzen liegt, kann die 
Verarbeitung fortgesetzt werden. Eine Person dagegen lost nur 
dxe Lichtschranke aus, wahrend das zusatzliche Signal des in- 
duktiven Endschalters wahrend der vorgegebenen Toleranzzeit 
ausbleibt. Eine solche Konstellation ist als Alarmkonstella- 
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tion auswertbar, auf die mit einer Not-Aus-Behandlung rea- 
giert werden kann. 

Wenn fur das fehlersichere Datenausgabegerat eine als 
watchdog ausgebildete und die Verarbeitungseinheit uberwa- 
chende Oberwachungsschaltung vorgesehen ist, welche den min- 
destens einen Ausgabekanal " in einen sicheren Zustand ttber- 
fiihrt, sobald eine Fehlfunktion der Verarbeitungseinheit 
festgestellt ist, ist tiber die als watchdog ausgebildete 
Oberwachungsschaltung ein zweiter Abschaltweg etabliert. Wenn 
z.B. die Verarbeitungseinheit nicht mehr in der Lage ist, ei- 
nen speziellen Ausgang abzuschalten, wurde ohne die Oberwa- 
chungsschaltung ein Motor oder ein Aggregat z.B. permanent 
aktiviert bleiben. Die als watchdog ausgebildete ttberwa- 
chungsschaltung erkennt derartige Zustande und schaltet beim 
Erkennen eines solchen Zustands die Ausgange in einen siche- 
ren Zustand. 

Wenn bei dem f ehlersicheren Datenausgabegerat, der durch die 
Verarbeitungseinheit ansteuerbare Ausgabekanal als riicklesba- 
rer Ausgabekanal ausgebildet ist, das dem Ausgabekanal zu- 
ftihrbare Signal auch der Uberwachungsschaltung zufuhrbar ist, 
die Oberwachungsschaltung das ihr zugefiihrte und das vom Aus- 
gabekanal zuruckgelesene Signal vergleicht und bei Abweichun- 
gen den betroffenen Ausgabekanal oder auch samtliche Ausgabe- 
kanale bzw. die daran angeschlossene Peripherie in einen si- 
cheren Zustand uberfuhrt, werden Diskrepanzen der Ansteuerung 
der jeweiligen Ausgabekanale erkannt und diese unmittelbar in 
einen sicheren Zustand uberfuhrt. 

Weitere Merkmale, Vorteile und AnwendungsmOglichkeiten der 
vorliegenden Erfindung ergeben sich aus den Unteranspruchen 
der nachfolgenden Beschreibung von Ausfuhrungsbeispielen an- 
hand der Zeichnung und der Zeichnung selbst . Dabei bilden al- 
le beschriebenen und/oder bildlich dargestellten Merkmale fur 
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sich oder in beliebiger Kombination den Gegenstand der vor- 
liegenden Erfindung, unabhangig von ihrer Zusanunenfassung in 
den Patent ansprtichen oder deren RUckbeziehung. Dabei zeigen: 

FIG 1 ein vereinf achtes Blockschaltbild eines Automati- 

sierungssystem, 

FIG 2 ein Blockschaltbild eines f ehlersicheren Datenein- 

gabegerates und 

FIG 3 ein Blockschaltbild eines f ehlersicheren Datenaus 

gabegerates . 

In FIG 1 ist exemplarisch ein Blockschaltbild eines einfachen 
Automatisierungssystemes mit einem fehlersicheren Dateneinga- 
begerat 2, einem fehlersicheren Datenausgabegerat 3, und ei- 
nem uber geordne ten Automatisierungsgerat 1, z.B. der Zen- 
traleinheit 1 einer speicherprogrammierbaren Steuerung darge- 
stellt. Die Gerate sind uber einen Bus 4, vorzugsweise uber 
einen zum Einsatz in Industrieumgebungen geeigneten Bus 4, 
insbesondere den Profibus 4, kommunikativ miteinander verbun- 
den. 

An das fehlersichere Dateneingabegerat 2 ist ein Not-Aus- 
Taster 1' angeschlossen. An das fehlersichere Datenausgabege- 
rat 3 ist ein Motor 2' angeschlossen. Wenn der Not-Aus-Taster 
1' betatigt wird, nimmt das Dateneingabegerat 2 dieses Signal 
auf, Ubermittelt es uber den Bus 4 an das Datenausgabegerat 
3, der daraufhin das Abschalten des Motors 2' bewirkt. 

In FIG 2 ein Blockschaltbild ist einer ersten Ausgestaltung 
eines fehlersicheren Dateneingabegerates 2 dargestellt. Das 
fehlersichere Dateneingabegerat 2 ist uber den Bus 4 kommuni- 
kativ mit anderen an den Bus 4 angeschlossenen Geraten 1, 2, 
3, verbunden, dabei ist die Busanschaltung durch ein Bus- 
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ASICs 5 bewirkt. Die Funktionen des Datenausgabegerates 3 
werden durch eine Verarbeitungseinheit 6, die z.B. ein ASIC 
oder einen Mikroprozessor ist, bewirkt. Der Verarbeitungsein- 
heit 6 werden direkt oder indirekt die Eingangskanale 7-0, 7- 
1 . . . 7-7 zugefiihrt . 

Ferner ist im Dateneingabegerat 2 eine Pruf schaltung 8 vorge- 
sehen, die gleichfalls durch die Verarbeitungseinheit 6 kon- 
trolliert wird und zu vorgegebenen Zeitpunkten einen Priifvor- 
gang auslost und dabei fur mindestens einen der Eingabekanale 
7-0, 7-1... 7-7 des f ehlersicheren Dateneingabegerats 2 einen 
Statuswechsel bewirkt. Dieser Statuswechsel wird von einer 
internen Logik 9 uberwacht, wobei die interne Logik 9 eine 
Fehlermeldung ausgibt, wenn der von der Pruf schaltung 8 aus- 
geldste Statuswechsel sich nicht auf den Status des jeweili- 
gen Eingangskanal 7-0, 7-1... 7-7 auswirkt . Am Ende des Priif- 
vorgangs wird der durch die PrUf schaltung 8 bewirkte Status- 
wechsel wieder riickgangig gemacht . Fur das Auslesen der be- 
troffenen Eingabekanale 7-0, 7-1... 7-7 wahrend des normalen 
Betriebs des f ehlersicheren Dateneingabegerats 2 ist der 
Prufvorgang dabei vollkommen transparent . 

Wenn die Eingange 7-0, 7-1... 7-7 der Verarbeitungseinheit 6 
zusatzlich auch in negierter Form 7-0', 7-1'... 7-v zuge- 
fuhrt werden, sind die Eingangskanale antivalent ausgelegt. 
Die Verarbeitungseinheit 6 liest dann fur den betreffenden 
Eingangskanal, z.B. 7-2 dessen Status, z.B. logisch 0, und 
fur den antivalenten korrespondierenden Eingang 7-2' als ne- 
gierten Status das entsprechende Komplement, in diesem Falle 
also logisch 1. Fehl funktionen bei der Weiterleitung der Sta- 
ti der jeweiligen Eingangskanale konnen durch die Verarbei- 
tungseinheit 6 dann einfach und sicher erkannt werden, indem 
jeweils uberpruft wird, ob auf dem jeweiligen Eingangskanal 
und auf dem dazu antivalenten Eingangskanal komplement are 
Stati vorliegen. 
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In FIG 3 ist ein Blockschaltbild eines f ehlersicheren Daten- 
ausgabegerates 3 dargestellt, das mittels eines als Busan- 
schaltung 14 ausgebildeten Bus-ASICs 14 an den Prozefibus 4 
angeschlossen ist. Das f ehlersichere Datenausgabegerat 3 
weist eine Verarbeitungseinheit 10 zur Verarbeitung benutzer- 
projektierbarer logischer VerknQpfungen auf, wobei die Verar- 
beitungseinheit 10 das Nutzinformation TN eines ilber den Pro- 
zefibus 4 empfangenen Telegramms auswertet, das Nutzinformati- 
on TN der benutzerpro j ektierbaren logischen Verknupfung un- 
terwirft, und entsprechend dem Ergebnis der logischen Ver- 
knupfung den mindestens einen Ausgabekanal 11-0, 11-1... 11-7 
ansteuert . 

In der Darstellung gemafi FIG 3 weist das f ehlersichere Daten- 
ausgabegerat 3 eine als watchdog 12 ausgebildete, und die 
Verarbeitungseinheit 10 tiberwachende Oberwachungsschaltung 12 
auf, welche den mindestens einen Ausgabekanal 11-0, 
11-1... 11-7 in einen sicheren Zustand uberfiihrt, sobald eine 
Fehlfunktion der Verarbeitungseinheit 10 festgestellt ist. Zu 
diesem Zweck uberwacht die Oberwachungsschaltung 12 die Funk- 
tion der Verarbeitungseinheit 10, wobei im Falle einer Fehl- 
funktion der Verarbeitungseinheit 10 die Stati der jeweiligen 
Ausgabekanale 11-0, 11-1... 11-7 durch die Oberwachungsschal- 
tung 12 bestimmt werden, wozu eine Treiberschaltung 13 vorge- 
sehen ist, die sowohl von der Verarbeitungseinheit 10 als 
auch von der Oberwachungsschaltung 12 ansteuerbar ist. 

Fur den Fall einer Fehlfunktion der Verarbeitungseinheit 10, 
tlberschreibt die durch die Oberwachungsschaltung 12 ausgege- 
bene Ansteuerung der jeweiligen Ausgabekanale 11-0, 
11-1... 11-7 die jeweilige Ansteuerung der Verarbeitungsein- 
heit 10, die zu diesem Zeitpunkt bereits als fehlerhaft er- 
kannt wurde . 
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In der Darstellung gemafi FIG 3 ist das f ehlersichere Daten- 
ausgabegerat 3 ferner derartig ausgebildet, dafi der durch die 
Verarbeitungseinheit ansteuerbare Ausgabekanal 11-0, 
11-1... 11-7 als riicklesbarer Ausgabekanal 11-0', 11-1'... 
11-7' ausgebildet ist, dafi das dem Ausgabekanal 11-0, 
11-1... 11-7 zufuhrbare Signal auch der tiberwachungsschaltung 
12 zufuhrbar ist, dafi die Uberwachungsschaltung 12 das ihr 
zugefuhrte und das vom Ausgabekanal zuruckgelesene Signal 
11-0', 11-1' .. .11-7' vergleicht und bei Abweichungen den be- 
troffenen Ausgabekanal li-o, 11-1... 11-7 in einen sicheren 
Zustand uberfuhrt. 

In der vorstehenden Beschreibung wird stets von Eingabe- bzw. 
Ausgabegeraten 2, 3 mit jeweils acht Eingabe- bzw. Ausgabeka- 
nalen ausgegangen. Selbstverstandlich kann die Anzahl der Ka- 
nale auch grofier oder kleiner als acht, z.B. 16 oder 32, 
sein. 
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Patentansprtiche 

1. Verfahren zum Betrieb eines Automatisierungssystems, 

- wobei das Automatisierungssystem mindestens eine Eingabe- 
einheit zur Aufnahme von Prozefisignalen und mindestens eine 
Ausgabeeinheit zum Ansteuern externer Peripherie aufweist, 
die kommunikativ uber einen Bus miteinander verbunden sind, 
dadurch gekennzeichnet, 

- dafi zumindest eine der Eingabeeinheiten und zumindest eine 
der Ausgabeeinheit en als f ehlersichere Eingabeeinheit (EE) 
bzw. fehlersichere Ausgabeeinheit (AE) ausgebildet sind, 

- dafi die fehlersichere Eingabeeinheit (EE) der fehlersiche- 
ren Ausgabeeinheit (AE) zu vorgegebenen Zeitpunkten ein Te- 
legramm (T) ubermittelt, 

- dafi das Telegramm (T) zumindest ein Nutzinf ormation (TN), 
eine die adressierte Ausgabeeinheit (AE) bezeichnende Ziel- 
kennung (TT) und eine die sendende Eingabeeinheit (EE) be- 
zeichnende Ursprungskennung (TS) aufweist, 

- dafi die Ausgabeeinheit (AE) den kontinuierlichen Empfang 
des Telegramms (T) als Indiz fur eine intakte Kommunikati- 
onsbeziehung auswertet und andernfalls die angeschlossene 
Peripherie in einen sicheren Zustand uberftlhrt. 

2. Fehlersicheres Dateneingabegerat mit mindestens einem Ein- 
gabekanal zum Anschlufi peripherer Sensorik zur Anwendung in 
einem Verfahren zum Betrieb eines Automatisierungssystems 
nach Anspruch 1, dadurch gekennzeich- 
net, dafi eine Prtif schaltung vorgesehen ist, die zu vor- 
gegebenen Zeitpunkten einen Prtifvorgang auslSst und dabei fiir 
mindestens einen der Eingabekanale des f ehlersicheren Daten- 
eingabegerat es einen Statuswechsel bewirkt, wobei eine inter- 
ne Logik den Statuswechsel uberwacht und gegebenenfalls eine 
Fehiermeldung ausgibt, wobei der durch die Prtlf schaltung be- 
wirkte Statuswechsel am Ende des Priifvorgangs wieder rOckgan- 
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gig gemacht wird und wobei der Prtlfvorgang far das Auslesen 
des betroffenen Eingabekanals vollkommen transprarent ist. 

3. Fehlersicheres Dateneingabegerat mit mindestens einem Ein- 

gabekanal zum Anschlufi peripherer Sensorik zur Anwendung in 

einem Verfahren zum Betrieb eines Automatisierungssystems 

nach Anspruch 1, dadurch gekennzeich- 

n e t , dafi der mindestens eine Eingabekanal antivalent 
ausgelegt ist. 

4 . Fehlersicheres Datenausgabegerat mit mindestens einem Aus- 
gabekanal zum Anschlufi peripherer Aktorik zur Anwendung in 
einem Verfahren zum Betrieb eines Automatisierungssystems 
nach Anspruch 1, dadurch gekennzeich- 

n e t , dafi eine Verarbeitungseinheit zur Verarbeitung be- 
nutzerprojektierbarer logischer Verknupfungen vorgesehen ist, 
wobei die Verarbeitungseinheit das Nutzinformation (TN) eines 
empfangenen Telegramms (T) auswertet, das Nutzinformation der 
benutzerprojektierbaren logischen Verknupfung unterwirft und 
ensprechend dem Ergebnis der logischen Verknupfung den minde- 
stens einen Ausgabekanal ansteuert. 

5. Fehlersicheres Datenausgabegerat nach Anspruch 4, d a - 
durch gekennzeichnet, dafi die Ver- 
arbeitungseinheit die zeitliche Abfolge der mit dem Nutzin- 
formation (TN) ubermittelten Prozefidaten tlberwacht und den 
mindestens einen Ausgabekanal nur dann ansteuert, wenn die 
zeitliche Abfolge der zur Ansteuerung der Ausgabekanals er- 
forderlichen Daten innerhalb vorgegebener Toleranzen liegt. 

6. Fehlersicheres Datenausgabegerat nach Anspruch 4 oder 5, 
dadurch gekennzeichnet, dafi eine 
als Watchdog ausgebildete und die Verarbeitungseinheit iiber- 
wachende Uberwachungsschaltung vorgesehen ist, welche den 
mindestens einen Ausgabekanal in einen sicheren Zustand uber- 
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ftihrt, sobald eine Fehlfunktion der Verarbeitungseinheit 
festgestellt ist. 

7. Fehlersicheres Datenausgabegerat nach Anspruch 6, d a - 
durch gekennzeich.net, da A der durch 

die Verarbeitungseinheit ansteuerbare Ausgabekanal als rtick- 
lesbarer Ausgabekanal ausgebildet ist, dafi das dem Ausgabeka- 
nal zufuhrbare Signal auch der Uberwachungsschaltung zufuhr- 
bar ist, dafi die Uberwachungsschaltung das ihr zugefuhrte und 
das vom Ausgabekanal zurUckgelesene Signal vergleicht und bei 
Abweichungen den betroffenen Ausgabekanal oder samtliche Aus- 
gabekanale in einen sicheren Zustand uberfuhrt. 
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Zusammenf assung 

Fehlersichere Prozefieingabe und Prozefiausgabe 

Es wird ein Verfahren zum Betrieb eines Automatisierungssy- 
stems angegeben, wobei das Automatisierungssystem mindestens 
eine Eingabeeinheit zur Aufnahme von Prozefisignalen und min- 
destens eine Ausgabeeinheit zum Ansteuern externer Peripherie 
aufweist, die kommunikativ uber einen Bus miteinander verbun- 
den sind, wobei sich das Verfahren dadurch auszeichnet, dafi 
zumindest eine der Eingabeeinheiten und zumindest eine der 
Ausgabeeinheiten als fehlersichere Eingabeeinheit (EE) bzw. 
fehlersichere Ausgabeeinheit (AE) ausgebildet sind, und dafi 
die fehlersichere Eingabeeinheit (EE) der f ehlersicheren Aus- 
gabeeinheit (AE) zu vorgegebenen Zeitpunkten ein Telegramm 
(T) Ubentiittelt, und dafi das Telegramm (T) zumindest ein 
Nutzinformation (TN) , eine die adressierte Ausgabeeinheit 
(AE) bezeichnende Zielkennung (TT) und eine die sendende Ein- 
gabeeinheit (EE) bezeichnende Ursprungskennung (TS) aufweist, 
und dafi die Ausgabeeinheit (AE) den kontinuierlichen Empfang 
des Telegramms (T) als Indiz fur eine intakte Kommunikations- 
beziehung auswertet und andernfalls die angeschlossene Peri- 
pherie in einen sicheren Zustand uberf iihrt . 
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